Facebook mottar flak fra sikkerhet entusiaster for måten det har taklet en av de siste sårbarhet disclosers. Den sosiale juggernaut ble nylig gjort oppmerksom på flere sikkerhetshull i Instagram, massiv foto-deling nettverk det eier, og mens flyttet bedriften til å plugge hull, resten av sine handlinger ikke finne velvilje hos alle.
Wesley Wineberg, en uavhengig sikkerhet forsker, rapporterte flere sårbarheter i Instagram til Facebook, som hvis de utnyttes, angivelig ga ham full kontroll over tjenesten. Etter Wineberg informert Facebook om sårbarheter, selskapet tilbød ham belønning for å avsløre en av bugs, men også kontaktet sin arbeidsgiver og truet ham med rettslige tiltak, i henhold til Wineberg.
I hans personlige blogg, Wineberg, en kontrakt som er ansatt i sikkerhetsselskapet Synack, skrev at han fant flere sårbarheter i Instagram-Infrastruktur (teknisk backend) som tillot ham å få tilgang til kildekoden for de nyeste versjonene av Instagram. De sårbarheter som angivelig også tillatt Wineberg for å få tilgang til SSL-sertifikater og private nøkler for Instagram.com, e-post server legitimasjon, nøkler til en håndfull av kritisk andre funksjoner, inkludert iOS-og Android-app signering og noen som er ansvarlig for iOS-push-varslinger.
De sårbarheter som angivelig også tillatt Wineberg å få tilgang til ansattes kontoer og passord, og finne en måte å Amazon bøtter som besto av brukeren bilder og andre data. “Å si at jeg hadde fått tilgang til i utgangspunktet alle Instagram er hemmelig nøkkel materialet vil trolig være en virkelig uttalelse. Med tastene jeg fikk, jeg kan nå enkelt å opptre som Instagram, eller utgi deg for å være noen gyldig bruker-eller medarbeider,” Winberg skrev i et blogginnlegg.
“Mens ut av omfang, ville jeg lett ha vært i stand til å få full tilgang til brukerens konto, private bilder og data. Det er uklart hvor lett det ville være å bruke den informasjonen jeg har fått for å deretter sette bakenforliggende serverne, men det definitivt åpnet opp mange muligheter.” la han til.
Winberg rapporterte sikkerhetsproblemer til Facebook i tre folder mellom 21. oktober og 1. desember. For det første offentliggjøring, Facebook gitt Wineberg en sum på $2500 (rundt Rs. 166,000). Den andre og tredje rapportering, men ble ikke møtt med noen pengepremier. I stedet, Wineberg skrev, Alex Stamos, Facebook Chief Security Officer kom i kontakt med Synack administrerende DIREKTØR Jay Kaplan og sa at de sårbarheter som er rapportert av Wineberg var triviell og “liten verdi”. Stamos lagt til “at han ikke ønsker å ha for å få Facebook er juridisk team involvert, men at han ikke var sikker på om dette var noe han trengte for å gå til politiet over,” i henhold til Wineberg.
Wineberg sier også at Stamos krevde at han ikke gjorde noen sikkerhetsproblemer offentlige, slette alle data som er hentet fra Instagram-systemer og bekrefte at han ikke hadde tilgang til alle brukerdata. “Til tross for alle anstrengelser for å følge Facebook’ s regler, jeg var nå blir truet med rettslige og strafferettslige avgifter, og det var alt som blir gjort mot min arbeidsgiver,” Wineberg skrev.
Stamos i en offentlig merk lagt ut på Facebook med tittelen ” Bug Bounty Etikk har referert til Wineberg er exfiltration av bruker og system data som en uetisk handling. Stamos også bemerkes at Wineberg var ikke fornøyd med summen Facebook var å tilby ham som en del av bug bounty programmet, og at han hadde truet med å skrive om nøkler og andre data til det offentlige.
“Jeg fortalte Jay på at vi ikke kunne tillate Wes å sette en presedens som helst kan exfiltrate unødvendige mengder data, og kaller det en del av legitime bug forskning, og at jeg ønsket å holde dette ut av hendene på advokater på begge sider,” Stamos skrev. “Jeg gjorde ikke truer med rettslige skritt mot Synack eller Wes heller ikke som jeg ber om Wes å bli sparket. Jeg sa at Wes ‘ s oppførsel reflektert dårlig om ham, og på Synack, og at det var i vår felles interesse å fokusere på den legitime RCE rapporten og ikke unødvendig pivot inn S3 og nedlasting av data.”
I kommentarene til innlegget, Stamos har også gjort det klart at selskapet ikke forventer og at en forsker for å laste ned en vilkårlig mengde data som en del av bug rapportering. Hendelsen, som mange brukere peker på, har blottet på hvordan uklart Facebook Bug Bounty Programmet vilkår og betingelser.
“Jeg er ikke helt sikker på hva din definisjon av ‘etisk’ er – Hvis du vil feil som rapporteres umiddelbart, og alle ytterligere etterforskning stoppet umiddelbart, SÅ SI det EKSPLISITT. Ellers noen ikke-destruktiv poking rundt når du har funnet et hull for å se hvor dypt det går faktisk er ganske mye fair spill innenfor rammene du har lagt ut,” en bruker skrev.
“Personlig, jeg sympathise mer med penetrasjon tester, men jeg tror at det er ingen enkle svar her. Dette er bare en annen kant tilfelle i den evige konflikt mellom hackere og dresser. Ledere som ønsker å føle at de har kontroll på hva som skjer på deres nettverk, og hackere som ønsker å sprenge gjennom hver barriere, som trosser at kontroll. Bug skuddpremier forsøk på å bygge bro over dette gapet, men tydeligvis i dette tilfellet, det var en uenighet om hvor langt var ” for langt,’ Sam Bowne, Nettverk og Etisk Hacking fakultet ved City College, San Francisco fortalte Gadgets 360.
“Andre nylige kant tilfeller også vise to sider: er det OK å hacke inn i kontrollene av et fly i luften? Hva med å hacke seg inn i en bil mens den kjører på en offentlig gate? Hva med å ta en prototype selv-kjører bilen ut på motorvei? Hvis vi blokkere alle disse tingene, kan vi kvele innovasjon, men hvis vi lar dem alle sammen, vi utsette uskyldige ofre. Disse konfliktene er hvordan vi søker etter midten bakken.”
Kunngjorde i 2011, Facebook Bug Bounty Programmet tilbyr et minimum av $500 (rundt Rs. 34,000) til noen som rapporterer sikkerhetsproblemer på Facebook-nettstedet. Linjene som til hvis en forsker kunne teste nivået av skade et sikkerhetsproblem kunne gjøre har aldri vært klart.
Flere sikkerhet entusiaster ikke er fornøyd med Facebook tilnærming.
“Virkelig føler at dette ikke var det riktige svaret. Alt virket rimelig bortsett fra å kontakte arbeidsgiver som om Wes er noen form for barnet,” en bruker er angitt.
Noen brukere på Reddit tror at Facebook ‘ s handlinger har satt en presedens som ville styre forskere unna rapporterer noe til dem.
“Dette er latterlig. Du kan være sikker på at neste gang noen finner en slik sårbarhet de vil selge den på blackout markeder,” en bruker skrev. “Moralske av historien: Hvis du finner et sikkerhetsproblem stor nok til å være potensielt verdt 4 tall eller mer, selge den til en 3. part,” en annen bruker stemte i.
Last ned Gadgets 360-app for Android og iOS for å holde deg oppdatert med den nyeste tech nyheter, produkt
anmeldelser og eksklusive tilbud på de populære mobiler.